Neue Regelungen beim Online-Banking

Im Juli 2019 hatten wir Sie über gesetzliche Änderungen im Zahlungsverkehr informiert und gehen nachfolgend näher auf die Inhalte der zweiten europäischen Zahlungsdiensterichtlinie (PSD2) ein.

Bis 14. September 2019 sind Banken verpflichtet, technische und vertragliche Anpassungen im Online-Banking und beim Bezahlen mit Karte vorzunehmen. Dabei stehen die Implementierung der starken Kundenauthentifizierung im elektronischen Zahlungsverkehr und die Bereitstellung einer Schnittstelle für Drittdienstleister im Fokus.

Hintergrundwissen

Erläuterungen und Erklärung der neuen Begriffe

Was ist die Zweite Zahlungsdiensterichtlinie (PSD2)?

Die sogenannte PSD2 (Payment Service Directive - zu deutsch: Zahlungsdiensterichtlinie) löst die bisherige EU-Zahlungsdiensterichtlinie ab. Es wurden folgende Ziele definiert:

  • Erhöhung des Verbraucherschutzes bei Onlinezahlungen
  • Entwicklung und Nutzung innovativer Online-und Mobilfunkzahlungen
  • Grenzüberschreitende europäische Zahlungsdienste sicherer machen
Abkürzungen und Begriffe

RTS = RegulatoryTechnical Standards - zu deutsch: technische Regulierungsstandards

SCA = Strong customerauthentification - zu deutsch: starke Kundenauthentifizierung oder auch 2FA

2FA = 2-Faktor-Authentifizierung 

XS2A = Künftig müssen auch Zugriffe von Drittdienstleistern über die Schnittstelle Access to Account (XS2A) ermöglicht werden

KID = Kontoinformationsdienste (KID) oder Account Information Service Provider (AISP) können im Namen des Kunden Salden und Umsätze abrufen (Beispiel: ImmoScout24)

ZDL = Zahlungsdienstleister oder Payment Service Provider (PISP) beauftragen im Namen des Kunden Zahlungsaufträge (Beispiele: PayPal, Sofort-Überweisung)

CBPII = Kartenausgebende Zahlungsdienstleister oder Card Bases Payment Instrument Issuer fragen mit der Berechtigung des Kunden die Verfügbarkeit von Beträgen bei einem Kaufvorgang an (Beispiel: payback, IKEA)

Was bedeutet 2-Faktor-Authentifizierung (2FA)?

Die starke Kundenauthentifizierung setzt sich aus zwei von drei möglichen Faktoren zusammen:

Wissen=etwas, das nur der Nutzer weiß (Kennwort, PIN)

Besitz=etwas, das nur der Nutzer besitzt (Karte, TAN, Smartphone)

Inhärenz=etwas, das dem Nutzer persönlich zu eigen ist (Fingerabdruck, Iris-Scan)

Die wichtigsten Änderungen im Überblick

2FA bei der Anmeldung > 2FA bei jeder Anmeldung im Online-Banking oder mindestens alle 90 Tage

2FA Umsatz > 90 Tage > 2FA beim Abruf von Umsatzdaten, die älter als 90 Tage sind

XS2A > Einbeziehen von Drittdienstleistern bei Zahlung und Kontoinformation

Zugriffsverwaltung > Berechtigungsvergabe und Überwachung von Transaktionen über XS2A

Timeout nach 5 Minuten > Beenden der Transaktion nach 5 Minuten Inaktivität

2FA Kreditkarte > Zwei Faktor-Authentifizierung bei Kreditkartenzahlungen

Mögliche Geschäftsvorfälle über die neue Schnittstelle XS2A

Kontoinformationsdienste (KID)

  • Umsatzanzeige
  • Saldenanzeige

Zahlungsauslösedienste (ZDL)

  • Einzel- und Sammelüberweisungen
  • Terminierte Überweisungen
  • Echtzeitzahlungen und Eilüberweisungen
  • Auslandsüberweisungen
  • Einreichung von Daueraufträgen

Kartenausgebende Zahlungsdienstleister (CBPII)

  • Abfrage zur Verfügbarkeit eines Betrages 

Was ändert sich für Sie konkret?

Online-Banking mit Software

HBCI/FinTS (Verfahren VR-NetKey mit PIN & TAN, HBCI)
Wenn Sie eine Software für Ihr Online-Banking nutzen (z.B. die VR-NetWorld-Software) und einen Umsatzzeitraum größer 90 Tage abrufen, erhalten Sie eine zusätzliche TAN-Zustellung als Legitimation für den Zugriff - die sogenannte starke Kundenauthentifizierung oder auch 2-Faktor-Authentifizierung (2FA).

Aktueller Hinweis: Durch die Vorbereitungen auf die veränderten technischen Regelungen kann es seit dem 08.08.2019 bereits zu einer TAN-Anforderung bzw. TAN-Zustellung für die Umsatzabfrage in Ihrer Zahlungsverkehrssoftware kommen.


Online-Banking (Browser)

TAN-Zustellung beim Login zum Online-Banking

Erstmals ab dem 10. Dezember 2019 werden Sie im Online-Banking (Browser) alle 90 Tage beim Login im Online-Banking aufgefordert, sich mit Ihrem VR-NetKey, Ihrer PIN sowie einer TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen trifft dies ebenso zu. Folgende Ausnahmen gelten für TAN-lose Zahlungen

Höhere Sicherheit Ihrer PIN

Die Regeln für eine gültige Online-Banking PIN verändern sich ebenfalls ab dem 14. September 2019, sofern Sie eine bestehende PIN ändern.

Neue Regeln für die PIN

Länge der PIN:

  • mindestens 8, maximal 20 Zeichen.

Folgende Zeichen sind für das Verfahren zugelassen:

  • Buchstaben A-Z, a-z

  • Umlaute Ä, Ö, Ü, ä, ö, ü, ß

  • Ziffern 0-9

  • Folgende Sonderzeichen !%&/=?*+;:_,.-@


VR-Banking App

Auch in der VR-Banking App werden Sie künftig aufgefordert alle 90 Tage zusätzlich eine TAN zum Login einzugeben.

Unser Tipp

Die TAN-Eingabe beim Login entfällt, sofern Sie Ihr Smartphone als zweiten Faktor für die starke Kundenauthentifizierung nutzen. Folgende Möglichkeiten bestehen:

  • Schalten Sie sich für die Funktion Kwitt frei und verschicken Sie künftig Geld wie eine Nachricht an Ihre Smartphone-Kontakte. Das funktioniert einfach und schnell und ohne Eingabe der IBAN. Voraussetzung ist, dass sie und der Empfänger für die Funktion Kwitt in der VR-Banking App oder der App der Sparkasse registriert sind. Weitere Informationen zu Kwitt finden Sie hier
  • Oder stellen Sie eine Gerätebindung zwischen der VR-Banking App und Ihrem Smartphone her. Diese können Sie mit der Version 19.15 (voraussichtlich ab Ende August 2019) einrichten. 

 

VR-Banking App mit SMS-TAN

Die Gerätebindung können Sie mit der mobileTAN (SMS-TAN) einrichten. Transaktionen über die App sind bei diesem Verfahren aus Sicherheitsgründen nicht möglich.

Stellen Sie bitte baldmöglichst das mobileTAN Verfahren (wird mittelfristig abgeschaltet) auf das VR-SecureGo Verfahren um. Eine Anleitung für die Einrichtung von VR-SecureGo erhalten Sie hier


Hohe Sicherheit beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird beim Online-Shopping mit Kreditkarte Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) verpflichtend. Über diesen Link können Sie sich in wenigen Schritten hierfür registrieren.

Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger, dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Mastercard® Identity Check™ bzw. Verified by Visa. 


Zugriffe von Dritten

Gesetzlich geregelt ist auch die Möglichkeit, Dritten (Dienstleistern) einen Zugriff über die neue - einheitliche - Schnittstelle Access to Account (XS2A) zu ermöglichen. Als Verbraucher, können Sie individuell diesen Diensten Ihre Zustimmung erteilen (Ähnlich der Zustimmung von AGB, Sonder- oder Lizenzbedingungen beim Onlinekauf).

Um die neuen, in der PSD2 aufgeführten Zahlungsdienste anbieten zu können, müssen Unternehmen und FinTechs über die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Erlaubnis zum Erbringen dieser Dienste beantragen. 

Nachfolgend erhalten Sie einen Überblick der möglichen Dienstleistungen.

Zahlungsdienstleister (ZDL)

Drittanbieter als Zahlungsauslöser

Ein Zahlungsauslösedienst führt – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag, wie zum Beispiel eine Überweisung, aus. Die Zahlung muss über die Zwei-Faktor-Authentifizierung beauftragt werden.

Kontoinformationsdienst (KID)

Drittanbieter als Kontoinformationsdienst

Ein Kontoinformationsdienst ermöglicht einem Dritten anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Nachdem Sie dem Dienst Ihre aktive Zustimmung erteilt haben, darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass Sie erneut zustimmen müssen. 

Kartenausgebende Zahlungsdienstleister (CBPII)

Drittanbieter als kartenausgebender Zahlungsdienstleister

Mit Ihrer girocard (Debitkarte) und unseren Kreditkarten verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto.

Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielweise von der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Die kartenausgebenden Unternehmen fragen bei Bezahlvorgängen die Verfügbarkeit des Kaufbetrages (Bonität) bei Ihrer VR Bank München Land eG an.

Sie behalten den Überblick

Steuern Sie Ihre Zustimmungen

Wie bereits mehr erwähnt, dürfen Drittdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen.

Mit der neuen Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt haben und welche Zahlungen ausgeführt wurden. Sie können dort auch Zugriffsberechtigungen wieder entziehen.

Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.